Remove From My Forums

同一ドメイン内に複数の認証局(AD CS)をたてる場合の弊害について

質問
0

サインインして投票

お世話になります。

【環境】
認証局：WindowsServer2012R2
クライアント端末：Windows7

Windows2012R2にAD CSの役割を追加して認証局を構築しています。
今回、本番環境被災時は災対環境へ切り替えてサービスを継続させたいと考えています。

そこで確認なのですが本番環境と災対環境にそれぞれ認証局を立てて、
本番環境被災時は災対環境の認証局を使用する構成は問題ありますでしょうか？

気にしているのは本番環境と災対環境では同一ドメインとなりますが、
同一ドメイン内に複数の認証局を立てることができるか。という点です。

認証局が複数あることでの弊害などありましたらご教示よろしくお願いします。

2016年3月30日 12:54

返信

|

引用

回答

2

サインインして投票
チャブーンです。

同一ドメイン内に証明機関を複数立てることは、技術的には可能です。ですが、単に複数立てた場合、互いの証明書情報(もちろん秘密鍵もですが)を連携させることができませんので、実質役に立たないと思います。

このような場合は、WSFCを組み、証明書データベースといった情報を共有リソースに配置することで、クラスタによる証明書サービスを展開することができます。詳細については以下の資料をご覧いただきたいと思いますが、Active=Passive構成しかできない(同時稼働はできません)等制限があるので注意してください。あと、Windows Server 2012 R2では「ドメインコントローラ上にWSFCは設定できない(不推奨のレベルではありません)」ので、この点にも注意がいりますね。

https://gallery.technet.microsoft.com/Failover-Clustering-and-b3ea8858
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答の候補に設定佐伯玲 2016年4月1日 1:09
- 回答としてマーク佐伯玲 2016年4月7日 1:01
2016年3月31日 11:03

返信

|

引用

モデレータ

すべての返信

2

サインインして投票
チャブーンです。

同一ドメイン内に証明機関を複数立てることは、技術的には可能です。ですが、単に複数立てた場合、互いの証明書情報(もちろん秘密鍵もですが)を連携させることができませんので、実質役に立たないと思います。

このような場合は、WSFCを組み、証明書データベースといった情報を共有リソースに配置することで、クラスタによる証明書サービスを展開することができます。詳細については以下の資料をご覧いただきたいと思いますが、Active=Passive構成しかできない(同時稼働はできません)等制限があるので注意してください。あと、Windows Server 2012 R2では「ドメインコントローラ上にWSFCは設定できない(不推奨のレベルではありません)」ので、この点にも注意がいりますね。

https://gallery.technet.microsoft.com/Failover-Clustering-and-b3ea8858
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答の候補に設定佐伯玲 2016年4月1日 1:09
- 回答としてマーク佐伯玲 2016年4月7日 1:01
2016年3月31日 11:03

返信

|

引用

モデレータ
0

サインインして投票

ご回答ありがとうございます。
技術的に可能な旨承知致しました。

今回の構成として本番環境とBCP環境があり、
本番環境被災時のことを想定して質問させて頂きました。

頂きました内容で理解致しました。
誠にありがとうございます。

2016年4月6日 1:00

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

同一ドメイン内に複数の認証局(AD CS)をたてる場合の弊害について

質問

回答

すべての返信